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Cassandra Crossing/ L’email di chi? 


(2)— Te lo do io il Pacchetto Sicurezza! Costruiamo il Pacchetto Privacy — 
Parte prima: Come e perché non usare i provider di posta elettronica. 


16 settembre 2005—Credo che bene o male tutti abbiano avuto notizia 
dell'ormai approvato “Pacchetto Sicurezza”, il quale contiene norme molto 
invasive, ed oltretutto in parte poco chiare, sulla data retention relativa ai file 
di log e simili. 

Le norme si applicano a qualunque tipo di comunicazione telefonica o telem- 
atica, ed in particolare ai log di posta e dei server web. Pare quasi certo che 
i contenuti delle comunicazioni siano esclusi, ma non c’è completa chiarezza a 
riguardo.Interpretando la norma (ma, anche se ho esperienza nel settore, non 
sono un avvocato specializzato, quindi si faccia un minimo di tara), e restrin- 
gendo il campo di queste considerazioni a posta e navigazione web, si presentano 
tre possibilità: 


e [Il detentore dei log è un ISP, un provider o comunque un fornitore di 
servizi a carattere commerciale, come ad esempio un internet point; in 
questo caso i log devono essere memorizzati a cura e spese del titolare 
(con quali modalità non è stabilito) fino al 2007, quando il “Pacchetto 
Sicurezza” verrà riesaminato in sede legislativa;] 


e [Il detentore dei log è un fornitore di servizi a carattere non commerciale, 
come ad esempio uno user group od una ONLUS; in questo caso la situ- 
azione è più vaga. In precedenza, con certezza, questi soggetti non erano 
tenuti (in pratica) alla conservazione dei log. La mia interpretazione è che 
il “Pacchetto Sicurezza” abbia purtroppo rovesciato questa situazione, ma 
bisognerà aspettare interpretazioni ufficiali o casi pratici per essere sicuri;] 

e [Il detentore dei log è un privato che non fornisce servizi a terzi. Questa 
figura non è un caso assurdo; chiunque abbia un dominio con indirizzi 
di posta che si gestisce autonomamente, od un sito web personale (non in 
hosting) ha, sulla sua macchina, un server di posta e/o web che viene usato 
da terzi (chi gli invia posta o chi sfoglia il suo sito web) e che ovviamente 
produce i log relativi. La mia interpretazione (confortata da moltissimi 
precedenti, dal testo della legge ed anche da un minimo di ragionevolezza) 
è che una tale figura non sia riconducibile ad un fornitore di servizi, e sia 
quindi esentata dalla conservazione dei log.] 


Supponendo valide queste premesse, passiamo a questa prima parte del “Pac- 
chetto Privacy”. 


Si tratta di una iniziativa, da sviluppare col tempo e la collaborazione di tutti, 
volta a ridurre, in maniera assolutamente legale e per quanto possibile, il prob- 
lema della data retention partendo da quella relativa alla posta elettronica. Sarà 
impostata come un'iniziativa di self-help, cioè volta a permettere a persone 
dotate non tanto di conoscenze tecniche ma di un minimo di buona volontà, di 
difendersi da queste aggressioni legislative (sottolineo di nuovo, in maniera asso- 
lutamente civile e legale) in attesa che i nostri rappresentanti eletti si accorgano 
di quello che stanno facendo e/o di come i loro elettori la pensano a riguardo. 


E’ infatti accaduto che, nelle ultime settimane, persino alte cariche dello Stato 
hanno parlato, anzi tuonato, in favore della privacy. Come opinione personale, 
ed in questo sono un “andreottiano” convinto, che applica la massima “chi pensa 
male fa peccato ma c’indovina”, ritengo che la vicenda, riassunta all’estremo, 
possa suonare così: 


12 settembre 2001: “Intercettiamo tutto e tutti, così saremo più sicuri.” 
Qualche mese fa: “Ohibo’, ma così intercettano anche noi!” 


Qualche giorno fa: “Difendiamo la privacy dei cittadini, perché è giusto e loro 
ci tengono tanto!“ 


Ma torniamo al “Pacchetto Privacy”. 


I messaggi di posta elettronica viaggiano normalmente tra server di posta gestiti 
da soggetti appartenenti alle prime due categorie suddette; provider commerciali 
e non (ad esempio università) certamente conserveranno i log, anche nei casi 
dubbi, se non altro per cautela.In Rete il percorso più comune di un messaggio 
di posta è il seguente: 


1. [pc del mittente] 


[server SMTP del provider del mittente] 

[server SMTP del provider del destinatario] 

[server POP3 od IMAP del provider del destinatario] 

[pc del destinatario! server 2 e 3, e probabilmente 4, sono quasi sempre 
server di provider commerciali, che quindi devono conservare i log per la 
durata prevista dal “Pacchetto Sicurezza”.] 


STIO 


Chi utilizza la posta elettronica puo’ sempre criptare il contenuto, renden- 
dolo privato, ma non mantenere la riservatezza sugli scambi di corrispondenza, 
che saranno chiaramente ricostruibili incrociando i log di posta dei suddetti 
server.Certo, persone avvedute possono utilizzare remailer e pseudonym server, 
ma questa non è (ancora) una soluzione alla portata della maggioranza degli 
utenti. 


Utilizzando quindi le infrastrutture di posta esistenti, siamo soggetti alla data 
retention imposta dal “Pacchetto Sicurezza”, per tacer poi di tutte le attività di 
profiling commerciale che gli ISP fanno, da tempo, in maniera purtroppo legale, 
fino ad arrivare alla assoluta abiezione di Gmail ed assimilati. 


A proposito, se volete evitare di ricevere risposte a vostri messaggi da quelli che 
la pensano come me, non avete che da scrivermi da un account di Gmail. 


Ma se si usasse un sistema di posta alternativo? Da quando si sono diffuse le 
ADSL flat non è una cosa irrealizzabile. Se io, come privato, fossi il titolare 
del server di posta che uso, e quindi avessi il mio indirizzo di posta su questo 
server, i messaggi da me ricevuti non sarebbero memorizzati sui log, che avrei 
ovviamente provveduto legalmente a gettare. 


Se il mittente che mi scrive utilizzasse un server SMTP locale della sua macchina 
(non registrato né ufficiale) anche i log di partenza potrebbero non essere con- 
servati (e vorrei vedere!) ed il messaggio diventerebbe quindi non tracciabile. 


La situazione ideale è quella in cui tutti e due i corrispondenti hanno l’indirizzo 
di posta pubblico su un loro server, rendendo il funzionamento della posta asso- 
lutamente identico (log a parte) a quello della posta “normale”. 


E’ una soluzione alla portata solo di smanettoni o guru? Non direi. Vediamo in 
pratica.E’ necessario avere una macchina collegata permanentemente o quasi ad 
internet, e quindi sempre accesa; quindi ADSL flat e PC silenzioso od almeno 
lontano dal letto sono indispensabili. 


Una Pbox sarebbe l’ideale, ma non voglio fare pubblicità ai progetti a cui parte- 
cipo in questa sede. Il computer che useremo deve girare un server di posta; 
se è una macchina GNU/Linux probabilmente lo fa già a vostra insaputa e vi 
basterà programmarlo, e se è una macchina win*** potete installarne uno libero 
e gratuito. 


Si deve poi registrare un proprio dominio (o più in economia un nome di com- 
puter) su uno dei siti tipo Dyndns.org che forniscono gratuitamente servizi di 


dns dinamico, ed installare sulla propria macchina il client relativo (anche questo 
libero e gratuito). 


Poi si deve dire al server di posta locale,di ricevere la posta destinata a quel 
nome host, ed inoltrarla all’utente locale, o metterla a disposizione su un server 
(sempre locale) POP3 od IMAP. Vale quanto detto al punto precedente. 


Dulcis in fundo, considerando che il nostro server casalingo potrebbe essere 
qualche volta scollegato (ad esempio quando la donna delle pulizie ha staccato la 
spina per attaccarci l’aspirapolvere) si deve definire un server di posta secondario 
che riceva la posta se il primario fosse momentaneamente spento, e gliela inoltri 
quando viene riacceso. Va benissimo il serverino di un altro collega con cui 
scambiarsi il favore. Questa ultima cosa non è indispensabile (dipende da quanto 
spesso il nostro server viene spento) ma richiede di possedere non un nome host 
(gratuito) ma un dominio registrato (da 40 a 70 euro l’anno). 


Come titolare di un dominio registrato potrei fare anche tante altre cose, ma 
questa è un’altra storia. 


Costo di tutta la faccenda? Da zero a 70 euro/anno, cioè più o meno il costo di 
una casella di posta “professionale”. Tempo necessario per realizzarla? Qualche 
ora, che può essere richiesta anche un amico esperto, tanto è una attività che si fa 
una volta per tutte.Risultato? Diventiamo padroni dei messaggi che riceviamo 
ed inviamo, che non saranno più loggati da nessuno, ed il Grande Fratello per 
una volta si ritrova con le corna rotte. 


Con qualche ora di lavoro in più possiamo anche istruire il nostro server di posta 
a criptare le comunicazioni con gli altri server che supportano questa opzione 
(Secure-SMTP), quindi il contenuto dei messaggi che inviamo, anche se in chiaro, 
non è più intercettabile perché viaggia comunque criptato. 


Infine, dopo aver messo in piedi una tale struttura (ma qui veramente avrei 
bisogno del conforto di esperti giuristi a riguardo) mi risulta che si potrebbero 
fornire caselle di posta anche a “familiari” (in senso esteso, non necessariamente 
consanguinei o coabitanti) senza acquisire con questo il ruolo di fornitore di 
servizi. 


Anche i vostri amici sarebbero quindi a posto... 


A questo punto molti staranno pensando “Come ècomplicato! Non ci riusciro’ 
mai.” Non è vero. Se ci pensate bene, avete sicuramente un conoscente in grado 
di farlo per voi. Dovrete insistere, perdere un po’ di tempo, chiedere dei favori, 
ma alla fine avrete il vostro server di posta e ne sarà valsa la pena: la vostra 
posta sfuggirà alla data retention. 


Avete un PC ed una ADSL flat ? Allora potete farlo. Punto!Ne vale la pena? 
E’ una cosa alla portata di molti? L’idea avrà successo? Rispondo alle prime 
due domande con due “Si”, il terzo dipenderà da chi punta su questa iniziativa. 


Certo che sarebbe più pratico fare tutto questo con una Privacy Box, silenziosa, 
che consuma pochissima corrente, vi tiene sempre su ADSL e lascia comple- 


tamente libero il vostro pc, ma questa sarebbe appunto pubblicità, quindi fate 
conto che non vi abbia detto niente, anzi, che nemmeno vi abbia dato l’indirizzo 
del sito e della mail list, che sono: 


http://www.winstonsmith.info/pbox/index.html 


http://lists.firenze.linux.it/cgi-bin/mailman/listinfo/p-box/ ... ma mi sia 
invece limitato a darvi l’indirizzo della lista tecnica del FLUG dove chiedere 
informazioni anche su configurazioni di posta Linux: 


http://lists.firenze.linux.it/cgi-bin/mailman/listinfo/tech/ 
.. e di quella generale sulla privacy del Progetto Winston Smith 
http://lists.firenze.linux.it /cgi-bin/mailman/listinfo/e-privacy / 


Un saluto ed alla prossima. 
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